Nach den Problemen bei der CA DigiNotar Mitte letzen Jahres sowie den Hacker Angriffen auf drei andere CAs, ist jetzt schon wieder ein Problem mit einer Zertifizierungsstelle bekannt geworden. Dieses Mal ist es Trustwave welches ein Zertifikat verkauft hat, welches als Man-in-the-Middle-Zertifikat funkiert. Das Zertifikat wurde zwar kurz darauf widerrufen und natürlich gelobt Trustwave Besserung trotzdem bleibt ein fader Beigeschmack bei dieser Geschichte.

Ein solches hier ausgestelltes Zertifikat kann in einem Data Loss Prevention System (kurz DLP) eingesetzt werden und erlaubt somit die Überwachung auch von verschlüsselter Kommunikation in Form einer Man-in-the-Middle-Schnittstelle.

DLPs werden mit Absprache mit Mitarbeitern und Betriebsrat gerne eingesetzt, um zu verhindern, dass Browser und Mailprogramme bei verschlüsselten Verbindungen Fehlermeldungen bringen. Trotzdem kann hier der Datenverkehr überwacht werden und überprüft werden, ob vertrauliche Firmengeheimnisse die Firma verlassen. In der Regel werden für diese DLPs die CAs aber von den zuständigen Admins selbst angelegt.

Angeblich sei zwar bei Trustwave ein entsprechender Vertrag unterzeichnet worden, der sicherstellen soll, dass das Zertifikat nur in spezieller Hardware verwendet wird, aber an sich ist es eine Freikarte, mit diesem Zertifikat alles abzusichern.

So gesehen ist der Antrag im Mozilla Bugtracker auch richtig, CAs das Vertrauen und das Root-Cert zu entziehen, die so ein vorgehen billigen. Heute ist es eine Firma, morgen eine staatliche Organisation und übermorgen können wir gleich die Verschlüsselung sein lassen, weil eh jeder alles mitlesen kann.